Quelles variables $_SERVER peuvent être utilisées en toute sécurité dans votre application Web ?

Variables $_SERVER sûres et non sécurisées

Étant donné la possibilité que les entrées de l'utilisateur compromettent l'intégrité d'une application Web, il est crucial de distinguer entre les variables « sûres » et « dangereuses ».

Définition des variables $_SERVER sûres et non sécurisées

Les variables $_SERVER sûres sont celles qui sont contrôlées par le serveur et ne peuvent pas être manipulés par les utilisateurs. Ces variables sont généralement utilisées pour identifier l'environnement et la configuration du serveur. Exemples :

• 'GATEWAY_INTERFACE'
• 'SERVER_ADDR'
• 'SERVER_SOFTWARE'
• 'DOCUMENT_ROOT'
• 'SERVER_NAME '

D'un autre côté, les variables $_SERVER non sécurisées sont celles qui peuvent être contrôlées par les utilisateurs via des requêtes HTTP. Ces variables sont souvent utilisées pour collecter des informations sur le client, telles que son adresse IP ou son type de navigateur. Les exemples incluent :

• 'HTTP_USER_AGENT'
• 'HTTP_REFERER'
• 'REQUEST_URI'
• 'PHP_SELF'

Variables $_SERVER partiellement sécurisées

Certaines variables $_SERVER relèvent d'une catégorie de "partiellement sécurisées". Ces variables dépendent généralement de la requête HTTP spécifique envoyée par le client, mais elles ne peuvent prendre qu'un nombre limité de valeurs valides. En conséquence, ils sont considérés comme fiables et peuvent être utilisés à certaines fins. Les exemples incluent :

• 'HTTP_HOST' (en supposant que le serveur Web répond uniquement aux en-têtes d'hôte valides)
• 'REMOTE_ADDR' (à condition que le serveur Web vérifie l'adresse IP pendant le protocole TCP/IP poignée de main)

Conclusion

La distinction entre les variables $_SERVER sûres et non sécurisées est cruciale pour assurer la sécurité des applications Web. Il est essentiel de connaître la source de chaque variable et de savoir si elle est fiable dans un but particulier. En comprenant la nature de ces variables, les développeurs peuvent mettre en œuvre des mesures de sécurité appropriées pour atténuer les vulnérabilités potentielles.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!